A equipe de Pesquisa de Vulnerabilidades do GitLab descobriu uma campanha de roubo de criptomoeda altamente sofisticada que explora pacotes Python typosquatted no Python Package Index (PyPI) para atingir a rede de IA descentralizada Bittensor.
A operação, detectada por meio do sistema automatizado de monitoramento de pacotes do GitLab, envolveu a implantação de pacotes maliciosos que imitam componentes legítimos do Bittensor, projetados especificamente para desviar fundos de desenvolvedores e usuários durante operações de staking de rotina.
Este Ataque à cadeia de suprimentos aproveita erros comuns do desenvolvedor na instalação de pacotes, como erros tipográficos em comandos pip, para se infiltrar em sistemas e executar transferências não autorizadas no blockchain Bittensor.
Tem como alvo o ecossistema Bittensor
A precisão da campanha cronometrando todos os pacotes carregados em uma janela de 25 minutos em 6 de agosto de 2025 sugere um esforço coordenado dos agentes de ameaças com o objetivo de maximizar o impacto antes da detecção.
Os pacotes afetados incluem bitensor@9.9.4, bittenso-cli@9.9.4, qbittensor@9.9.4, bitensor@9.9.5 e bittenso@9.9.5, cada um criado para se assemelhar às bibliotecas autênticas bittensor e bittensor-cli, que são essenciais para interagir com o protocolo de treinamento de IA ponto a ponto do Bittensor.
Ao explorar essas semelhanças de nomenclatura, os invasores garantem que instalações inadvertidas levem ao comprometimento de Carteiras de criptomoedas, destacando as vulnerabilidades persistentes nos ecossistemas de software de código aberto.
A sofisticação técnica do ataque está na manipulação da funcionalidade principal dentro da CLI do Bittensor.
Especificamente, os pacotes maliciosos alteram a função stake_extrinsic no módulo bittensor_cli/src/commands/stake/add.py, injetando código na linha 275 que redireciona as operações de staking para um dreno total da carteira.
Em vez de executar uma chamada extrínseca padrão para bloquear tokens para validação de rede e ganho de recompensa, a função sequestrada invoca um transfer_extrinsic com parâmetros definidos como transfer_all=True, prompt=False e um endereço de destino codificado de 5FjgkuPzAQHax3hXsSkNtue8E7moEYjTgrDDGxBvCzxc1nqR.
Isso resulta na exfiltração silenciosa de todos os tokens TAO disponíveis na criptomoeda nativa do Bittensor sem prompts ou confirmações do usuário, disfarçados de atividade legítima de blockchain.
A escolha de direcionar o staking é estrategicamente sólida do ponto de vista de um agente de ameaça: o staking requer desbloqueio e autenticação da carteira, fornecendo as permissões necessárias para desvio de fundos, enquanto os usuários com participações substanciais são atraídos para essas operações para geração de rendimento.
Além disso, a natureza rotineira do staking em redes semelhantes à prova de participação promove a complacência do usuário, atrasando a detecção, pois as discrepâncias de saldo podem ser atribuídas erroneamente a taxas de transação ou retenções temporárias.
Esse vetor de ataque não apenas explora protocolos técnicos, mas também padrões psicológicos nas interações de blockchain, tornando-o particularmente insidioso para participantes experientes do Bittensor que apostam regularmente para contribuir para o consenso de aprendizado de máquina descentralizado da rede.
Implicações para a segurança da cadeia de suprimentos
Análise forense de blockchain conduzida pelo GitLab revelado um esquema de lavagem de dinheiro em várias camadas após os roubos iniciais.
Os fundos roubados são canalizados para a carteira principal 5FjgkuPzAQHax3hXsSkNtue8E7moEYjTgrDDGxBvCzxc1nqR antes de serem dispersos por endereços intermediários, como 5HpsyxZKvCvLEdLTkWRM4d7nHPnXcbm4ayAsJoaVVW2TLVP1, 5GiqMKy1kAXN6j9kCuog59VjoJXUL2GnVSsmCRyHkg. gvhqNC, 5ER5ojwWNF79k5wvsJhcgvWmHkhKfW5tCFzDpj1Wi4oUhPs6 e 5CquBemBzAXx9GtW94qeHgPya8dgvngYXZmYTWqnpea5nsiL, consolidando-se em 5D6BH6ai79EVN51orsf9LG3k1HXxoEhPaZGeKBT5oDwnd2Bu e sacando via 5HDo9i9XynX44DFjeoabFqPF3XXmFCkJASC7FxWpbqv6D7QQ.
Essa técnica de ofuscação emprega transferências rápidas e multi-hop para evitar o rastreamento no livro-razão público, uma tática comum no crime de criptomoeda para anonimizar ganhos ilícitos.
A estratégia de typosquatting amplifica ainda mais a ameaça, contando com variações sutis de nomenclatura, como omitir letras (por exemplo, bitensor para bittensor) ou truncamentos (por exemplo, bittenso), juntamente com números de versão que espelham versões legítimas para explorar erros humanos em fluxos de trabalho de desenvolvimento.
Olhando para o futuro, esse incidente ressalta a necessidade crítica de defesas aprimoradas da cadeia de suprimentos, incluindo detecção automatizada de anomalias em registros de pacotes e monitoramento de transações de blockchain.
Identidade proativa do GitLabA icação exemplifica como a pesquisa contínua de vulnerabilidades pode mitigar esses riscos, promovendo maior resiliência em finanças descentralizadas e ecossistemas de IA.
Indicadores de comprometimento
| COI | Descrição |
|---|---|
| pacote: pypi / bittenso@9.9.5 | Pacote PyPI malicioso |
| pacote: pypi / bitensor@9.9.5 | Pacote PyPI malicioso |
| pacote:pypi/bitensor@9.9.4 | Pacote PyPI malicioso |
| pacote:pypi/qbittensor@9.9.4 | Pacote PyPI malicioso |
| pacote:pypi/bittenso-cli@9.9.4 | Pacote PyPI malicioso |
| 5FjgkuPzAQHax3hXsSkNtue8E7moEYjTgrDDGxBvCzxc1nqR | Endereço da carteira Bittensor (TAO) para receber fundos roubados |
The Ultimate SOC-as-a-Service Pricing Guide for 2025–Baixe de graça